УДК 004

Оценка рисков информационной безопасности

Егорова Анастасия Леонидовна – магистр кафедры защищенных систем связи Санкт-Петербургского государственного университета телекоммуникаций им. М.А. Бонч-Бруевича

Аннотация: Оценка рисков информационной безопасности является важной частью практики управления предприятиями, которая помогает выявлять, количественно определять и приоритизировать риски в соответствии с критериями приемлемости рисков и целями, относящимися к организации. Управление рисками относится к процессу, который состоит из идентификации, управления и устранения или снижения вероятности событий, которые могут негативно повлиять на ресурсы информационной системы, для снижения рисков безопасности, которые потенциально могут повлиять на информационную систему, при условии приемлемой стоимости средств защиты, которые содержат анализ риска, анализ параметра «затраты-эффективность», выбор, построение и тестирование подсистемы безопасности, а также исследование всех аспектов безопасности.

Ключевые слова: управление информационными рисками, оценка рисков информационной безопасности, классификация рисков, информационная безопасность.

Введение

Со временем сложность информационных систем возрастает, а, следовательно, вопросы информационной безопасности становятся все более актуальными для любой организации. В этом контексте особое внимание уделяется анализу и оценке рисков информационной безопасности как необходимой составляющей комплексного подхода к обеспечению информационной безопасности. Типичный анализ (и связанная с ним оценка) рисков информационной безопасности выполняется во время аудита информационной безопасности системы или на этапе проектирования. Основной задачей аудита информационной безопасности является оценка возможностей и эффективности механизмов контроля, применяемых к компонентам информационных технологий, а также архитектуры информационных систем в целом. Аудит информационной безопасности включает в себя множество задач, таких как оценка эффективности системы обработки информации, оценка безопасности используемых технологий, процесса обработки и управления автоматизированной системой. Общая цель аудита информационной безопасности — обеспечить конфиденциальность, целостность и доступность активов организации. Оценка рисков также является неотъемлемой частью аудита информационной безопасности.

В зависимости от результата их оценки методики оценки рисков информационной безопасности могут быть как количественными, так и качественными. Выходом алгоритма количественной методологии является числовое значение риска. Входные данные для оценки обычно используются для сбора информации о неблагоприятных или непредвиденных событиях в системе защиты информации, которые могут поставить под угрозу защиту информации (инциденты защиты информации). Однако частое отсутствие достаточной статистики приводит к снижению точности и актуальности результатов.

Качественные методики более распространены, так как в них используются чрезмерно упрощенные шкалы, которые обычно содержат три уровня оценки риска (низкий, средний, высокий). Оценка осуществляется путем опроса экспертов, а интеллектуальные методы используются пока недостаточно.

В данной статье рассматривается количественная оценка рисков информационной безопасности.

Концепция риска информационной безопасности

Риск информационной безопасности – это потенциальная вероятность использования уязвимостей актива или группы активов в качестве конкретной угрозы нанесения ущерба организации [1].

Основными признаками риска являются противоречивость, альтернативность и неопределенность [2]. Классификация информационных рисков представлена на рисунке 1 и разделена на пять групп [3, 4].

Рисунок 1. Классификация информационных рисков.

Анализ риска включает в себя процесс оценки риска и возможные методы снижения риска или уменьшения связанных с ним неблагоприятных последствий [6]. Для оценки уровня угрозы и потенциального влияния события проводится анализ с использованием различных инструментов и методов существующих процессов информационной безопасности. По результатам этого анализа выделяются наиболее высокие риски, которые следует воспринимать как опасные угрозы, требующие немедленных дополнительных мер защиты.

Качественные и количественные подходы к анализу рисков

Анализ рисков информационной безопасности можно разделить на два вида: качественный и количественный. Качественный анализ выявляет факторы, области и типы рисков и обычно использует человеческое взаимодействие, например, посредством семинаров или интервью, для получения входных данных. При качественной оценке риска основное внимание уделяется вероятности события, а не его статистической вероятности. Эти вероятности получаются на основе анализа угроз и уязвимостей, а затем определения качественного или количественного значения актива или активов, которые могут быть затронуты (воздействие):

Риск= Угроза × Уязвимость × Влияние,

где Угроза × Уязвимость — вероятность возникновения рискового сценария.

Одним из примеров качественной методологии оценки рисков является методология оценки рисков OWASP (Open Web Application Security Project) [8]. После анализа OWASP создает сводку, аналогичную представленной на Рисунке 2, где влияние и вероятность качественно оцениваются как низкое, среднее или высокое.

Рисунок 2. Матрица оценки рисков OWASP.

Напротив, количественный анализ риска должен позволять количественно определить размер убытков. Тем не менее, количественная оценка является сложной задачей, поскольку она требует соответствующих входных данных для количественной оценки рисков.

По сути, для составления модели риска необходимо учитывать следующие компоненты:

1. Ресурсы;
2. домен приложения;
3. Список потенциальных угроз активам;
4. Список потенциальных уязвимостей;
5. Список контрмер и рекомендаций по снижению риска. Уязвимости, связанные с информационными системами, варьируются от недостатков конфигурации.

Формула для количественной оценки риска включает Величину уязвимости и Сумма ущерба, но вместо этого фокусируется на количестве усилий, необходимых для организации атаки, выраженных через Количество попыток реализации угрозы:

[Величина риска] = [Количество попыток реализации угрозы] ×

[Величина уязвимости] × [Сумма ущерба]

Для каждого риска мы рассчитываем ожидаемый годовой убыток (ALE), который является удобной для бизнеса мерой риска при количественном подходе к оценке риска [19, 20]. ALE требует определения ряда дополнительных параметров: годовая частота возникновения (ARO), ожидаемая разовая потеря (SLE), ожидаемая годовая потеря, стоимость активов и фактор риска, которые дополнительно определены ниже. Величина ALE характеризует возможные годовые потери (риск). Он рассчитывается на основе ARO и SLE для каждого риска:

АЛЭ = АРО × СКВ

ARO – это удобная для бизнеса мера вероятности возникновения события, которая помогает с точки зрения годового бюджета. ARO показывает вероятность реализации конкретной угрозы в течение заданного периода (чаще всего, в течение одного года), а также может принимать значения в диапазоне от 1 до 3 (низкая, средняя, высокая).

СКВденежная стоимость, ожидаемая от возникновения риска по активу. Это следует из стоимости активов и того, какая часть этой стоимости активов будет изъята в случае реализации риска. Другой способ расчета ALE:

ALE = ARO × AV × EF

где AV (Asset Value) – стоимость ресурса, отражающая ценность конкретного информационного ресурса. При качественной оценке рисков стоимость ресурса, как правило, колеблется от 1 до 3, где 1 – минимальная стоимость ресурса, 2 – средняя стоимость ресурса, 3 – максимальная стоимость ресурса. Например, в банковской информационной системе автоматизированный сервис будет иметь ранг AV = 3, а отдельный информационный терминал будет иметь AV = 1. EF (фактор воздействия) — это степень уязвимости ресурса к угрозе. Этот параметр показывает, насколько ресурс уязвим для рассматриваемой угрозы. В рамках качественной оценки риска это значение также колеблется от 1 до 3, где 1 – самая низкая степень уязвимости (незначительное воздействие), 2 – средняя (высокая вероятность восстановления ресурсов), 3 – высшая степень уязвимости (требуется полная замена ресурса после устранения угрозы). Например, для банковской организации тот же сервер автоматизированной банковской системы характеризуется наибольшей доступностью, неся, следовательно, максимальную ассоциированную угрозу 3.

На практике оценка риска всегда выполняется на определенном уровне детализации. Все компоненты риска можно разбить на более мелкие компоненты или сгруппировать для получения более общих оценок. Все зависит от целей организации: получить общую информацию о состоянии возможных угроз и уязвимостей или построить качественную комплексную систему защиты информации. Следовательно, для расчета риска можно использовать уравнение:

[Величина группы рисков] = [Количество попыток реализации группы угроз] ×

[Общая величина уязвимостей] × [Сумма общего ущерба/потери]

где Количество попыток реализации группы угроз - ожидаемое количество попыток реализации группы угроз в течение года; Суммарная величина уязвимостей – суммарная вероятность того, что в случае возникновения угроз активам эти угрозы будут успешно реализованы с использованием данной группы уязвимостей. Сумма общего ущерба/убытков – это сумма ущерба в случае утраты всех активов, которым реализуются угрозы. В целом величина риска зависит от стоимости активов, угроз и связанных с ними вероятностей возникновения опасного события для активов, простоты реализации угроз, использующих конкретные уязвимости, а также существующих или планируемых средств защиты, уменьшающих уязвимости, угрозы и неблагоприятные последствия.

Этапы анализа риска в целом по большинству используемых методов представлены в таблице 1.

В зависимости от потребностей организации и выводов ее руководства относительно стоимости актива риск может быть устранен, уменьшен, передан или одобрен. Устранение риска будет достигнуто при отказе от использования ресурса.

Снижение риска потребует, например, введения средств и механизмов защиты, снижающие вероятность угрозы или коэффициент поражающей способности. Риск также может быть передан страховой компании или третьему лицу, ответственному за соответствующий элемент, которые в случае угрозы безопасности будут нести расходы, связанные с убытком, вместо владельца информационной системы. Наконец, риск может быть одобрен путем разработки плана действий и создания соответствующих условий.

Таблица 1. Этапы оценки рисков.

№	Входные значения	Этапы оценки риска	Выходные данные
1	Аппаратное обеспечение, программное обеспечение, данные и информация, персонал	Определение характеристик информационной системы	Область применимости системы, функции системы, критичность системы и данных в ней
2	Предварительные отчеты об оценке рисков Комментарии аудиторов, результаты тестирования безопасности	Идентификация уязвимостей	Перечень потенциальных уязвимостей
3	История атак на систему Информация от групп реагирования, СМИ, правоохранительных органов	Идентификация угрозы	Перечень потенциальных угроз
4	Применимые регуляторы безопасности	Анализ регуляторов безопасности	Перечень регуляторов безопасности
6	Источники угроз Природа уязвимости Существующие контрмеры	Определение вероятности реализации угрозы	Рейтинг вероятности угроз
7	Оценка критичности активов Критичность данных Уязвимость данных	Определение воздействия Потеря: конфиденциальность, доступность, целостность	Рейтинг влияния на систему
8	Вероятность реализации угрозы Уровень влияния Адекватность существующих и планируемых контрмер	Идентификация риска	Уровень рисков
9	Уровень риска	Отчет об анализе рисков	Отчет

Принятие риска варьируется в зависимости от организации. Его уровень зависит от суммы факторов, включая конкретные бизнес-цели компании, профиль рисков безопасности, количество клиентов, финансовые последствия и долю инвестиций или бюджета, предназначенную для управления рисками [6]. Аппетит к риску или толерантность к риску устанавливают границы для определения приоритетности рисков, которые необходимо устранить. Компания с высоким аппетитом к риску может одобрить больший риск за более высокое вознаграждение, связанное с риском, в то время как компания с низким аппетитом к риску будет стремиться к меньшей неопределенности, за что она согласится с более низкой доходностью. Определение аппетита имеет решающее значение для эффективного и действенного управления бизнесом, чтобы помочь организации понять, куда инвестировать время и ресурсы.

Целью любого подхода к оценке рисков информационной безопасности является изучение факторов риска и принятие наилучшего решения по управлению рисками. Факторы риска являются основными параметрами, которые учитываются при оценке рисков. Таких параметров всего семь: актив, потери, угроза, уязвимость, механизм контроля, размер среднегодовых потерь и возврат инвестиций.

Вывод

Статья дает представление о методах качественной и количественной оценки рисков. Создан ряд пакетов программ, позволяющих автоматизировать отдельные этапы работы специалиста, но, как выделено, они обеспечивают в основном ряд математических расчетов или формирование отчетов или иной документации и не способны автоматизировать технический риск. анализа и аудита или для обучения системы при повторном выполнении операции. Практически во всех методологиях анализа риска процессы качественной и количественной оценки разделены. Сначала собирается качественная информация об уровнях угроз и уязвимостей.

В силу своих недостатков как качественные, так и количественные методы считаются неполными, субъективными, включающими элемент случайности, и трудно поддающимися обновлению или повторному использованию. В разделе 5 представлено необходимое сканирование горизонта с упором на методы на основе ИИ, нечеткой логики и искусственных нейронных сетей (ИНС) и их использование для более эффективного расчета риска с учетом сочетания качественных входных параметров, таких как угроза, ущерб и уязвимость. Применение искусственных нейронных сетей может помочь в оценке защищенности от информационных рисков, поскольку они обладают способностью к самообучению, могут решать неопределенные задачи и подходят для обработки количественных данных. Другие модели нечеткой логики, такие как байесовские сети, скрытые марковские, и модели дерева решений также могут использоваться с другими типами распознавания образов для решения сложных задач оценки риска. Это технологии, на которых должны сосредоточиться будущие исследования, чтобы облегчить, упростить и автоматизировать процесс оценки информационных рисков, а также повысить устойчивость операций и бизнес-процессов.

Список литературы

1. Красов А.В. Построение доверенной вычислительной среды / Гельфанд А.М., Коржик В.И., Котенко И.В., Петрив Р.Б., Сахаров Д.В., Ушаков И.А., Шариков П.И., Юркин Д.В. // Санкт-Петербург, 2019.
2. Волкогонов В.Н. Актуальность автоматизированных систем управления / Гельфанд А.М., Деревянко В.С. // В сборнике: Актуальные проблемы инфотелекоммуникаций в науке и образовании (АПИНО 2019). сборник научных статей VIII Международной научно-технической и научно-методической конференцияи : в 4 т.. 2019. С. 262-266.
3. Гельфанд А.М. Оценка рисков и угроз безопасности в среде "Умный дом" /Казанцев А.А., Красов А.В., Орлов Г.А. // В сборнике: Актуальные проблемы инфотелекоммуникаций в науке и образовании (АПИНО 2020). IX Международная научно-техническая и научно-методическая конференция: сборник научных статей. Санкт-Петербург, 2020. С. 316-321.
4. Шемякин С.Н. Оценка расстояния единственности... Для некоторых блочных шифров / Орлов Г.А., Холоденко В.Ю., Егорова А.Л. // Вестник Санкт-Петербургского государственного университета технологии и дизайна. Серия 1: Естественные и технические науки. 2020. № 2. С. 34-38.
5. Пестов И.Е. Выявление угроз безопасности информационных систем Сахаров Д.В., Сергеева И.Ю., Чернобородов И.С. // В сборнике: Актуальные проблемы инфотелекоммуникаций в науке и образовании (АПИНО 2017). Сборник научных статей VI Международной научно-технической и научно-методической конференции. В 4-х томах. Под редакцией С.В. Бачевского. 2017. С. 525-527.
6. Пестов И.Е. Методика противодействия угрозам нарушения информационной безопасности инстансов и облачной инфраструктуры, основан на описании атак и методов противодействия им, используя теории графов // В сборнике: Актуальные проблемы инфотелекоммуникаций в науке и образовании (АПИНО 2022). XI Международная научно-техническая и научно-методическая конференция. Санкт-Петербург, 2022. С. 742-746.
7. Красов А.В. Актуальные угрозы безопасности информации в сфере здравоохранения и офтальмологии / Шакин Д.Н., Лансере Н.Н., Фадеев И.И., Гельфанд А.М. // Офтальмохирургия. 2022. № S4. С. 92-101.